Кто-то бэкдорит индустриальный и госсектор России с целью кражи данных

Кто-то бэкдорит индустриальный и госсектор России с целью кражи данных

Кто-то бэкдорит индустриальный и госсектор России с целью кражи данных

В «Лаборатории Касперского» проанализировали летние атаки на государственные и индустриальные организации РФ, а также образцы Windows-троянов, с помощью которых злоумышленники воровали данные.

Имейл-рассылки, нацеленные на внедрение бэкдоров, были зафиксированы в начале июня. К середине августа авторы атак обновили основной вариант зловреда, расширив набор функций для кражи данных.

Распространяемые вредоносные вложения (finansovyy_kontrol_2023_180529.rar и detali_dogovora_no_2023_000849.rar) представляли собой ARJ-архив, содержащий исполняемый файл Nullsoft с полезной нагрузкой — маскировочным PDF-документом и скриптом NSIS.

Последний при запуске открывает документ-приманку и вызывает функцию get плагина INetC установщика Nullsoft, которая пытается загрузить в систему вредоносный файл с внешнего ресурса. В случае успеха зловред копируется в папку C:\ProgramData\Microsoft\DeviceSync\ под именем UsrRunVGA.exe, а затем запускается на исполнение со скрытым окном. Чтобы обеспечить ему автозапуск, в системе создается новый ярлык (файл .lnk).

Кроме UsrRunVGA, в рамках данной вредоносной рассылки распространялись еще два бэкдора — Netrunner и Dmcserv, с другим C2-сервером.

 

Согласно результатам анализа, вредонос UsrRunVGA написан на Go; строки кода зашифрованы простым XOR. После запуска троян проверяет доступ в интернет, подключаясь к сайтам зарубежных СМИ (отправляет HTTP-запросы GET до тех пор, пока все они не вернут код состояния 200 — «ОК»).

При этом используется следующий User-Agent:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 Edg/91.0.864.5.

После получения нужных ответов зловред обращается к C2-серверу по HTTPS, вновь ожидая в ответ код 200. Установив соединение, UsrRunVGA проводит ряд проверок на наличие виртуальной среды или песочниц; при обнаружении таких препятствий дальнейшее исполнение прекращается.

Основные функции бэкдора обеспечивают сбор и отправку на C2-сервер информации о зараженной машине (модель и производитель системного диска), а также выполнение команд list (перечислить файлы и папки в указанной директории) или file (передать файл на C2).

Выявлены дополнительные модули UsrRunVGA, выполняемые в отдельных потоках; они придаются зловреду для выполнения следующих задач.

  • получение содержимого буфера обмена;
  • снятие снимков экрана;
  • отправка файлов с указанными расширениями (из папок пользователей) на C2.

Данные, которые бэкдор отправляет на свой сервер, шифруются по AES256-GCM (ключ вшит в код вредоноса).

Обнаруженную в августе новую версию UsrRunVGA отличают отсутствие проверки интернет-доступа, расширенный набор проверок рабочей среды и дополнительный инструмент для кражи паролей из браузеров (список на три десятка позиций, в том числе Яндекс Браузер).

Изменился метод запроса, используемого для передачи системной информации на C2-сервер: теперь это HTTP POST. Содержимое подаваемых команд list / file и параметров стало шифроваться по RSA (ключ для расшифровки вшит в код зловреда).

Авторы UsrRunVGA также заменили AES-ключ, который используется для шифрования данных, отправляемых на командный сервер. Цепочка заражения и вредоносный скрипт-загрузчик остались без изменений.

Мошенникам хватает ФИО, даты рождения и телефона, чтобы заблокировать счёт

Для новой неприятной схемы злоумышленникам не нужны вредоносные программы, фишинговые сайты и взлом банковского приложения. Иногда хватает телефона, уверенного голоса и базовых персональных данных, отмечают специалисты.

Как рассказал «Газете.Ru» основатель компании «Интернет-Розыск» Игорь Бедеров, мошенники могут дистанционно заблокировать банковский счет жертвы, если знают ее ФИО, дату рождения и номер телефона, привязанный к счету.

Сценарий в этом случае простой: злоумышленник звонит на горячую линию банка, представляется клиентом и сообщает, что потерял телефон или банковскую карту. Если оператор или автоматизированная система считают названные данные достаточными для идентификации, счет могут оперативно заблокировать.

И вот тут начинается самое неудобное: отменить такую блокировку дистанционно обычно нельзя. Настоящему владельцу счета приходится идти в отделение банка с паспортом и проходить физическую идентификацию. То есть мошенник потратил пару минут, а жертва — время, нервы и доступ к собственным деньгам.

По словам Бедерова, эта схема опасна тем, что использует не техническую уязвимость, а особенности банковских бизнес-процессов. При этом нужные данные часто уже есть в открытом доступе или в утечках. Дата рождения в соцсетях, номер телефона в объявлениях, ФИО в разных сервисах, и вот пазл почти собран.

Эксперт советует завести отдельный номер телефона для банковских сервисов и двухфакторной аутентификации. Такой номер не стоит публиковать в соцсетях, мессенджерах, объявлениях и других открытых источниках.

Также лучше убрать дату рождения из публичных профилей. Это не просто милая информация для поздравлений, а один из параметров, который могут использовать для давления на банк.

Если счет уже заблокировали по чужому звонку, пользователь может обратиться в банк с заявлением, потребовать расследование инцидента, запись разговора и номер телефона, с которого якобы звонил «клиент».

RSS: Новости на портале Anti-Malware.ru